ACCORDO DI INCARICO AL RESPONSABILE DEL TRATTAMENTO
Città di Piove di Sacco
Provincia di Padova
SETTORE VII – Servizi Sociali e Asilo nido
ACCORDO DI INCARICO AL RESPONSABILE DEL TRATTAMENTO
ai sensi dell’art. 28 del Regolamento Europeo 2016/679 (in seguito anche “GDPR”)
tra
COMUNE DI PIOVE DI SACCO (C.F. 80009770282 – P.IVA 00696250281), con sede in Xxxxxx X. Xxxxxxxxx x. 0,
Titolare del trattamento ai sensi dell’art. 4 comma 1 n. 7 GDPR, in persona del Responsabile del Settore VII – Servizi Sociali e Asilo nido titolare del trattamento dei dati
e
CAF..........................................................(cod. Fiscale ....................................partita iva..........................) con sede
legale in .................................................... in persona del Legale rappresentante.................................................................
nato a ...............................il......................... C.F. ..........................................., Responsabile del trattamento ai sensi
dell’art. 28 GDPR
premesso che
- il CAF gestisce le pratiche relative alle richieste di prestazioni sociali agevolate da parte di
cittadini residenti nel Comune di Piove di Sacco per effetto della convenzione ............... approvata e
sottoscritta............................. da......................... con atto repertorio scritture private n. .....................del del
Comune di Piove di Sacco;
- tale gestione comporta un trattamento di dati personali, come definiti all’art. 4 comma 1 GDPR, che il CAF svolge per conto del Titolare;
- il GDPR e il Codice impongono una serie di obblighi e vincoli al trattamento di dati personali da parte del Titolare, che anche il Responsabile è tenuto a rispettare;
- il CAF garantisce in ordine all’adozione di misure tecniche e organizzative adeguate per far sì che il trattamento dei dati sia conforme alle disposizioni del GDPR e sia idoneo alla tutela dei diritti dell’interessato;
- con il presente accordo il Titolare del trattamento intende dunque procedere alla nomina di quale
Responsabile del trattamento, impartendogli dettagliate istruzioni in relazione al trattamento dei dati.
Tutto ciò premesso si conviene quanto segue
1. Nomina a Responsabile del trattamento
Con il presente Accordo il Comune di Piove di Sacco, Titolare del trattamento, nomina, ai sensi dell’art. 28 GDPR, quale Responsabile del trattamento dei dati, in relazione a tutti i trattamenti di dati che sono
necessari allo svolgimento della convenzione.
2. Caratteristiche del trattamento
Il trattamento è consentito per tutto il tempo necessario previsto dalla convenzione ed è necessario in particolare al perseguimento delle finalità della stessa.
Il trattamento potrà avere a oggetto dati personali comuni e dati personali “particolari”, e potrà essere svolto in via cartacea o informatica.
3. Obblighi del Responsabile del trattamento
Il Responsabile del trattamento è tenuto, ai sensi dell’art. 28 terzo comma GDPR, a:
a) trattare i dati personali trasmessi dal Titolare o comunque acquisiti in relazione ai Servizi da svolgere, in corrispondenza alle istruzioni del Titolare e agli obblighi previsti dalla presente convenzione, informando comunque immediatamente il Titolare qualora, a suo parere, un’istruzione impartita violi il GDPR o la normativa italiana sulla protezione dei dati;
b) individuare e nominare per iscritto le persone autorizzate al trattamento all’interno della propria struttura
(“incaricati”) e garantire che i predetti Incaricati si impegnino alla riservatezza dei dati o abbiano un adeguato obbligo legale di riservatezza e si impegnino altresì all’adozione delle misure di sicurezza adottate e al rispetto dei principi del trattamento dei dati di cui al Capo II del GDPR;
c) adottare e descrivere al Titolare tutte le misure di sicurezza richieste dall’art. 32 GDPR, ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;
d) informare il Titolare della nomina di propri Responsabili al trattamento (“sub-Responsabili”) nonché della loro successiva sostituzione con nuovi Responsabili, al fine di permettere al Titolare di valutare l’idoneità degli stessi ed eventualmente opporsi alla nomina o sostituzione. In caso di nomina autorizzata di altro Responsabile, a individuare le specifiche attività di trattamento del Responsabile e a stipulare con il Responsabile apposito contratto con il quale il Responsabile assuma, in relazione ai trattamenti svolti, gli stessi obblighi previsti nel presente Accordo;
e) collaborare con il Titolare, con misure tecniche organizzative adeguate, ove possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato descritti negli artt. da 15 a 22 GDPR, con le modalità di cui all’art. 12 GDPR e le tempistiche indicate nell’art. 12 terzo comma GDPR. A tal fine, il Responsabile trasmette le eventuali richieste degli interessati, all’indirizzo mail xxxxxxxxxx@xxxxxx.xxxxx.xx.xx entro 24 ore dal ricevimento della richiesta;
f) in relazione al trattamento svolto, assistere e collaborare con il Titolare ai fini del rispetto degli obblighi imposti al Titolare dagli artt. da 33 a 36 GDPR, e in particolare:
- informare il Titolare, senza ingiustificato ritardo, e comunque al più tardi entro 24 ore dal momento in cui ne è venuto a conoscenza, all’indirizzo mail xxxxxxxxxx@xxxxxx.xxxxx.xx.xx di ogni violazione di dati personali, al fine di permettere al Titolare la notifica al Garante per la Protezione dei Dati Personali ai sensi dell’art. 33 GDPR e, se del caso, la comunicazione all’interessato ai sensi dell’art. 43 GDPR, fornendo tutte le informazioni sulla predetta violazione che siano a sua conoscenza tra quelle indicate dall’art. 33 comma 3 GDPR;
- assistere e collaborare con il Titolare nel processo di eventuale valutazione d’impatto sulla protezione dei dati (“DPIA – Data Protection Impact Assessment”) di cui all’art. 35 GDPR, nonché nella eventuale fase di consultazione preventiva con l’Autorità di controllo ai sensi dell’art. 36 GDPR, qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal Titolare per attenuare il rischio;
g) cancellare o restituire tutti i dati personali una volta cessata in via definitiva l’esecuzione dei Servizi e cancellare le copie esistenti secondo le istruzioni ricevute dal Titolare, salvo che la conservazione dei dati sia prevista dal diritto dell’Unione o dalla normativa italiana;
h) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto, da parte del Responsabile, degli obblighi di cui al presente Accordo e contribuire alle attività di revisione, comprese le ispezioni, poste in essere dal Titolare.
Il Responsabile del trattamento è tenuto, ove sussistano le condizioni di cui all’art. 30 comma 5 GDPR, alla redazione e al costante aggiornamento di un “Registro delle attività di trattamento” svolte per conto del Titolare, in forma scritta, anche in formato elettronico, da tenere a disposizione in ogni momento del Titolare, con il contenuto di cui all’art. 30 comma2 GDPR.
Il Responsabile del trattamento è altresì tenuto:
- ove compia una autonoma valutazione d’impatto sulla protezione dei dati (“DPIA Data Protection Impact Assessment”) di cui all’art. 35 GDPR in relazione ai propri servizi, prodotti, asset che coinvolgano i trattamenti compiuti per conto del Titolare, a comunicare tempestivamente al Titolare il report finale della DPIA svolta;
- a informare tempestivamente il Titolare qualora intenda avvalersi di servizi “Cloud” per il trattamento dei dati personali, assicurandosi altresì che i dati stessi vengano conservati all’interno dell’Unione Europea.
Il Responsabile si impegna altresì a valutare, ai fini della dimostrazione della propria idoneità all’incarico, l’adesione a eventuali codici di condotta o a un meccanismo di certificazione approvati ai sensi dell’art. 40 e 42 GDPR.
4. Principi del trattamento dei dati
Il Responsabile del trattamento è tenuto, in relazione a tutti i trattamenti svolti per conto del Titolare, al rispetto dei principi di cui al Capo II del GDPR, nonché a consentire al Titolare di poter dimostrarne il rispetto nei confronti degli interessati e del Garante per la Protezione dei dati personali.
A titolo esemplificativo e non esaustivo si precisa che i dati:
- devono essere trattati in modo lecito, corretto e trasparente;
- devono essere raccolti solo per le finalità del trattamento, svolto dal Responsabile, che siano determinate, esplicite e legittime;
- devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità;
- devono essere esatti e se necessario aggiornati;
- devono essere conservati per un periodo non superiore a quello necessario al raggiungimento delle finalità del trattamento. Trascorso detto periodo i dati vanno resi anonimi o cancellati;
- se comuni vanno trattati nei casi indicati all’art. 6 GDPR;
- se “particolari” vanno trattati nei casi indicati dall’art. 9 e 10 GDPR.
Il Responsabile è altresì tenuto al rispetto degli obblighi di informativa all’interessato ai sensi dell’art. 13 comma 2 GDPR e di acquisizione del consenso nei casi previsti dall’art. 7, 8, 9 e 10 GDPR, nonché a garantire all’interessato, in relazione ai trattamenti svolti per conto del Titolare, l’esercizio dei diritti previsti dagli artt. 15, 16, 17, 18, 20, 21 GDPR.
Il Responsabile è comunque tenuto e ha il potere di svolgere ogni incombenza connessa all’esecuzione dell’incarico di cui al presente Accordo che sia necessaria o opportuna per l’esercizio dei compiti indicati nel presente Accordo.
5. Disposizioni generali e finali
Le Parti dichiarano di aver letto e pienamente compreso il contenuto del presente Accordo e di esprimere pienamente, con la sottoscrizione, il loro consenso. Eventuali modifiche al presente Accordo, se del caso anche mediante l’inserimento di “clausole tipo” di cui all’art. 28 comma 6 GDPR, dovranno essere apportate esclusivamente per iscritto. L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.
L’incarico di Responsabile del trattamento dei dati è di carattere fiduciario e non è quindi suscettibile di delega, salva la nomina di sub-responsabili ai sensi del presente Accordo. L’incarico di Responsabile del Trattamento cessa automaticamente alla scadenza o alla cessazione del Contratto e/o della concessione affidata, salvi gli obblighi attinenti al trattamento dei dati da considerarsi esistenti anche successivamente alla cessazione del rapporto.
Per tutto quanto non espressamente previsto nel presente atto, si rinvia alle disposizioni in materia di protezione dei dati personali di cui al GDPR e al D.Lgs. n. 196 del 29.7.2003 (Codice in materia di protezione dei dati personali).
Piove di Sacco,
Per accettazione dell’incarico Il Responsabile del trattamento
x.xx digitalmente - -----------------
Il Titolare
Comune di Piove di Sacco
x.xx digitalmente i
N.B.
Il Responsabile della Protezione dei Dati Personali di cui all'art. 37 GDPR per il Comune di Piove di Sacco è:
- Ditta HTS Hi-Tech Services Srl, xxx xxxxx Xxxxxxxx 00 – 00000 Xxxxx